國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞274個，互聯網上出現“NEWMARKNMCMS SQL注入漏洞、EMLsoft 'numPerPage'參數SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　TLS 1.3正式成為官方標準

　　互聯網工程任務組(IETF)將TLS 1.3描述成為現代互聯網設計的重大修改，稱本次更新包含了在安全、性能和隱私方面的重大改進。>>詳細

　　紅芯致歉背后：研發一款國產自主瀏覽器內核到底有多難

　　其本質不只是一個瀏覽器，它是結合紅芯安全管控后臺以及紅芯安全應用網關形成的一個跨設備安全辦公整體解決方案，解決中大型企業IT在往移動化、上云遷移過程中所遇到的問題。>>詳細

　　英特爾官宣第三大漏洞L1TF細節與防御措施

　　這個漏洞可能讓攻擊者竊取存儲在計算機或第三方云上的信息，漏洞由一些研究人員發現并于1月向英特爾報告，該漏洞包括為 L1TF 或 L1 Terminal Fault 三個品種。隨后，研究人員又發現了兩個被叫做“Foreshadow-NG”的類似變體，會攻擊代碼、操作系統、管理程序軟件以及其它微處理器。>>詳細

　　技術觀瀾

　　防御Mimikatz攻擊的方法介紹

　　Mimikatz在內網滲透測試中發揮著至關重要的作用，主要是因為它能夠以明文形式從內存中提取明文密碼。攻擊者在他們的滲透中大量使用Mimikatz，盡管微軟推出了安全補丁，但是在較舊的操作系統中Mimikatz仍然有效。>>詳細

　　Python技巧101：這17個操作你都Ok嗎

　　Python的編寫使用方式有多種，數據科學、網頁開發、機器學習皆可使用Python。Quora、Pinterest和Spotify都使用Python作為其后端開發語言。>>詳細

　　基于深度學習的智能網格錯誤數據注入攻擊動態檢測

　　在已提出的方法中，基于深度學習的框架工作用于檢測注入數據測量。我們的時間序列異常檢測器采用卷積神經網絡(CNN)和一個長短期記憶(LSTM)網絡。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年08月13日-2018年08月19日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞274個，其中高危漏洞107個、中危漏洞155個、低危漏洞12個。漏洞平均分值為6.24。上周收錄的漏洞中，涉及0day漏洞71個（占26%），其中互聯網上出現“NEWMARKNMCMS SQL注入漏洞、EMLsoft 'numPerPage'參數SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Exchange Server是一套電子郵件服務程序，它提供郵件存取、儲存、轉發，語音郵件，郵件過濾篩選等功能。Microsoft Edge是內置于Windows 10版本中的網頁瀏覽器。InternetExplorer是微軟公司推出的一款網頁瀏覽器。Microsoft Visual Studio是一款開發工具套件系列產品，也是一個基本完整的開發工具集，它包括了整個軟件生命周期中所需要的大部分工具。MicrosoftWindows 7等都是一系列操作系統。Windows FTP Server是其中的一個FTP（文件傳輸協議）服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Microsoft ExchangeServer內存破壞漏洞、Microsoft Internet Explorer和Edge腳本引擎內存破壞漏洞（CNVD-2018-15434、CNVD-2018-15435、CNVD-2018-15436）、MicrosoftInternet Explorer腳本引擎內存破壞漏洞（CNVD-2018-15439、CNVD-2018-15438）、MicrosoftVisual Studio遠程代碼執行漏洞、Microsoft Windows FTP Server拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Intel產品安全漏洞

　　Intel Quartus II是一套用于硬件編程的軟件。Intel ServerBoard是一款服務器主板。Compute Module是一款計算模塊。Server System是一款服務器陣列卡。Intel 4th GenIntel Core Processor等都是不同系列的中央處理器（CPU）產品。IntelProcessor Diagnostic Tool（IPDT）是一款處理器功能診斷工具。IntelConverged Security Manageability Engine是一款使用在CPU（中央處理器）中的安全管理引擎。ActiveManagement Technology（AMT）是其中的一個主動管理組件。Intel SaffronMemoryBase是一款用于Saffron的內存基礎套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Intel QuartusII權限提升漏洞、Intel Server Board、Compute Module和Server System拒絕服務漏洞、多款Intel產品信息泄露漏洞、Intel ProcessorDiagnostic Tool權限提升漏洞（CNVD-2018-15596、CNVD-2018-15597）、IntelConverged Security Manageability Engine Active Management Technology權限提升漏洞、Intel SaffronMemoryBase權限提升漏洞（CNVD-2018-15599、CNVD-2018-15600）。其中，除“Intel QuartusII權限提升漏洞、多款Intel產品信息泄露漏洞、Intel SaffronMemoryBase權限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apache產品安全漏洞

　　Apache Camel是一套開源的基于EnterpriseIntegration Pattern(企業整合模式，簡稱EIP)的集成框架。Apache Ignite是一套用于大規模的數據集處理的內存計算和事務管理平臺。Apache Kafka是一個開源的分布式流媒體平臺。Apache Storm是一個免費開源的分布式實時計算系統。Apache Tomcat是一款輕量級Web應用服務器，它主要用于開發和調試JSP程序，適用于中小型系統。Apache Ant是一套用于Java軟件開發的自動化工具。該工具主要用于軟件的編譯、測試和部署等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取任意文件，繞過安全限制，執行未授權的操作，執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Apache CamelCore XSD validation processor外部實體信息泄露漏洞、Apache Ignite任意代碼執行漏洞（CNVD-2018-15540）、Apache Kafka安全繞過漏洞、Apache Storm任意代碼執行漏洞（CNVD-2018-15544）、Apache Tomcat安全限制繞過漏洞（CNVD-2018-15543）、Apache Ant未授權操作漏洞、Apache TomcatNative身份驗證漏洞（CNVD-2018-15545、CNVD-2018-15547）。其中，“Apache Ignite任意代碼執行漏洞（CNVD-2018-15540）、Apache Storm任意代碼執行漏洞（CNVD-2018-15544）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　SAP產品安全漏洞

　　SAP Internet Graphics Server（IGS）是一款圖形服務器。SAP MaxDB是一套跨平臺的、兼容ANSI SQL-92的關系數據庫管理系統。SAP IdentityManagement是一套能夠嵌入到業務流程中的身份管理應用程序。SAP HANA是一套實時數據分析平臺。SAP NetWeaver是一套面向服務的集成化應用平臺，該平臺可為SAP應用提供開發和運行環境。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，繞過某些安全限制并執行未授權的操作。

　　CNVD收錄的相關漏洞包括：SAP InternetGraphics Server Portwatcher拒絕服務漏洞（CNVD-2018-15390）、SAP MaxDB ODBC遠程代碼注入漏洞、SAP InternetGraphics Server Portwatcher拒絕服務漏洞、SAP Identity Management XML外部實體注入漏洞、SAP IdentityManagement信息泄露漏洞、SAP Internet Graphics Server HTTP和RFC listener拒絕服務漏洞、SAP HANA SAPSystems Installation權限提升漏洞、SAP NetWeaver AS Java Log Injection安全繞過漏洞。其中，“SAP MaxDB ODBC遠程代碼注入漏洞、SAP HANA SAPSystems Installation權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　PbootCMS 'scode'參數SQL注入漏洞

　　PbootCMS是一款使用PHP語言開發的開源企業建站內容管理系統（CMS）。上周，PbootCMS被披露存在SQL注入漏洞。遠程攻擊者可通過向\apps\home\controller\ParserController.php腳本發送'scode'參數利用該漏洞從數據庫中獲取重要信息。

　　小結

　　上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。此外，Intel、Apache、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，繞過安全限制，執行未授權的操作，執行任意代碼或發起拒絕服務攻擊等。另外，PbootCMS被披露存在SQL注入漏洞。遠程攻擊者可通過向\apps\home\controller\ParserController.php腳本發送'scode'參數利用該漏洞從數據庫中獲取重要信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、安全牛、雷鋒網、51CTO、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇